Manajemen Keamanan Informasi
Informasi adalah asset perusahaan, seperti halnya asset business perusahaan lainnya, informasi mempunyai nilai kepada corporasi dan sebagai konsekwensinya, memerlukan suatu perlindungan yang memadai. Standard keamanan informasi melindungi informasi dari segala threats / ancaman agar kesinambungan business tetap terjamin dan meminimalkan kerusakan business. Keamanan informasi bisa dicapai dengan cara mengimplementasikan suatu control dalam bentuk policy, procedure, struktur organisasi, system dan fungsi untuk menjamin bahwa objectivtas keamanan dari organisasi bisa ketemu.
Standard keamanan informasi berhubungan banyak dengan beberapa konsep penting, yang konsen dengan jaminan keamanan informasi dari segala informasi dan system, proses dan procedure yang berhubungan dengan managemen dan penggunaan dari informasi. Informasi bisa berupa cetakan (hard copy), atau soft copy yang tersimpan pada berbagai bentuk media seperti flash disk, CD, tape backup, ataupun dalam system jaringan komputer.
Informasi mempunyai tingkat sensitivitas dan criticality yang berbeda. Banyak juga informasi yang tidak memerlukan suatu tingkat pengamanan yang kritis atau cukup dengan standard keamanan minimal saja. Akan tetapi beberapa informasi secara komersil mempunyai tingkat sensitivitas yang tinggi dan memerlukan tingkat keamanan yang lebih tinggi. Asset informasi haruslah diklasifikasikan dan di manaje menurut kebutuhan keamanan yang memadai dan menjamin bahwa control keamanan sebanding dengan resiko keamanannya.
Ada keterkaitan antara system informasi dan pertukaran informasi antara business unit dengan fihak ketiga – business partner, yang menjurus kepada naiknya tingkat exposure kepada ancaman keamanan. Semua user / karyawan haruslah mempunyai rasa tanggung jawab masing-masing kepada informasi yang mereka gunakan, sementara fihak manajemen memastikan bahwa control keamanan informasi diimplementasikan dengan tepat. Keamanan informasi tidak menjamin keamanan dari informasi itu sendiri, akan tetapi system keamanan informasi memberikan framework dan rujukan manajemen untuk mengimplementasikan control keamanan yang memadai, dan meningkatkan rasa ikut menjaga keamanan bagi semua elemen karyawan untuk ikut bertanggungjawab terhadap keamanan informasi perusahaan agar tidak terjadi suatu kebocoran yang menjurus kepada kerugian.
Sebagai konsekwensi dari bocornya informasi perusahaan dapat mengakibatkan kerugian meliputi yang berikut ini.
- Kehilangan jiwa dan kecelakaan
- Kehilangan kepercayaan para pemegang saham
- Gangguan proses business
- Kehilangan financial
- Kehilangan kepercayaan clients
- Ancaman criminal
- Kerusakan nama dan reputasi
Pernyataan umum dari policy keamanan informasi
Informasi dan segala hal yang menyertainya termasuk proses, systems, dan jaringan infrastrucktur haruslah tersedia kepada authorized user (dan juga authrorized party) agar bisa mengoptimalkan performa. Informasi haruslah tergantung pada tingkat control yang memadai untuk melindungi nya dari segala kehilangan, manipulasi fihak yang tidak bertanggung jawab, ataupun kebocoran rahasia.
Objective dari standard policy keamanan informasi:
- Availability: untuk menjamin bahwa fihak yang mendapatkan authorisasi terhadap informasi tersebut termasuk system yang mendukungnya bisa mengaksesnya dengan mudah dan tanpa kendala.
- Integrity: untuk menjaga keakuratan dan kelengkapan dari informasi dan metoda-2 proses yang berkaitan.
- Confidentiality: untuk menjamin bahwa informasi tersebut hanyalah diperuntukkan bagi mereka yang berhak saja.
1. Omongan yang ceroboh (Careless Talk)
Yang dimaksudkan omongan yang ceroboh adalah:
- Membicarakan segala macam masalah bisnis, masalah kantor, masalah rahasia bisnis yang bisa dikuping oleh orang lain yang tidak seharusnya berhak mendengar.
- Membicarakan masalah bisnis perusahaan dengan orang-2 yang tidak sepatutnya menerima atau mendengarkan informasi bisnis ini
2. Petunjuk keamanan masalah Email
Email merupakan komponen yang sangat kritis bagi system komunikasi perusahaan dan diberikan sebagai alat bisnis. Keamanan, kerahasiaan, dan integritas dari email tidak dapat dijamin dan tentunya tidak dianggap sebagai private. Untuk itu segenap elemen corporate haruslah memperlakukan pemakaian email ini secara professional dan memadai sepanjang waktu.
3. Guideline tentang instant messaging
Instant Messaging (IM) bisa digunakan untuk alat komunikasi bisnis dua arah dengan real time. Agar terjadi komunikasi dua arah, kedua belah fihak haruslah menggunakan alat yang sama misal ICQ, YM, atau MSN. Apakah sebagai alat Instant messaging ini bisa diandalkan dan aman sebagai alat komunikasi bisnis anda? Perlu diketahui bahwa jika kita melakukan contact dengan seseorang lewat IM, maka sesungguhnya kita melakukan koneksi lewat jaringan public – internet.
4. Guideline policy Internet
Tidak semua karyawan seharusnya mempunyai akses internet ini dan kalau toch diberikan akses, maka haruslah dipergunakan dengan cara yang sangat professional dan memadai. Apa yang dibrowsing bisa dimonitor secara internal dan external dan tindakan kita bisa di trace back ke komputer yang kita gunakan.
5. Guideline keamanan laptop
Laptop merupakan asset perusahaan yang sangat berharga, bukan hanya sekedar harga laptopnya akan tetapi informasi asset yang tersimpan didalamnya. Untuk itu haruslah ada suatu policy tentang keamanan laptop ini, karena jika terjadi pencurian maka informasi perusahaan yang bersifat kritispun ikut raib dan bisa merupakan kebocoran informasi.
6. Guideline keamanan kantor
Gedung atau kantor peusahaan haruslah mempunyai control keamanan yang memadai secara fisik, akan tetapi seluruh karyawan haruslah juga mempunyai rasa tanggung-jawab terhadap keamanan kantor sepanjang waktu.
7. Guideline keamanan password
Account dan password atau Token (one time password) memberikan akses ke informasi perusahaan dalam system jaringan komputer company dimana tersimpan informasi corporate. Dan sebagai karyawan yang mempunyai akses ini haruslah bertanggungjawab terhadap account dan password mereka berdasarkan prinsip “Need to Know Principle”, mendapatkan akses sesuai kebutuhan saja.
8. Penanganan media dengan aman
Penghancuran media yang berisi informasi sensitive seperti disket, CD, dan tape backup rusak, haruslah dilakukan secara baik dan aman dengan agar media tersebut (yang bisa berisi informasi yang sangat kritis) tidak sampai bocor. Technology memungkinkan merekayasa suatu disk yang rusak untuk bisa di recovery.
9. Guideline keamanan Spam
Hampir semua kita sering mendapatkan brosur, iklan, dan informasi lainnya didalam kotak surat dirumah. Spam mirip dengan iklan, brosur diatas akan tetapi dalam bentuk elektronik. Akan tetapi ada perbedaan versi junk email dan surat diatas. Perlu dibuat suatu guiline agar dampak dari spam ini bisa diminimalkan.
10. Guideline masalah keamanan terhadap virus
Jika kita berfikir bahwa komputer kita aman dari serangan virus karena sudah terlindungi oleh system antivirus dari system IT kita, maka kita harus berfikir ulang. Perlunya penanganan masalah virus ini sangat penting untuk dibuatkan suatu kebijakan agar membantu keamanan system informasi.
Semua point diatas akan dibahas lebih rinci pada artikel-2 berikutnya.
Membangun suatu jaringan corporasi yang berskala besar tidak segampang membuat jaringan wireless untuk di rumah, banyak yang harus diberikan perhatian extra keras terutama masalah keamanan jaringan. Untuk itu suatu manajemen dan kebijakan masalah keamanan informasi sangat lah diperlukan.
0 komentar:
Posting Komentar